Nâng cấp Ethereum Pectra chủ yếu mang lại lợi ích cho các băng nhóm trộm cắp tiền điện tử
Tính năng ví thông minh mới được giới thiệu của Ethereum, EIP-7702, đang bị giám sát sau khi các nhà nghiên cứu bảo mật blockchain phát hiện tội phạm mạng lạm dụng nó. Sau bản nâng cấp Pectra, một số nhà cung cấp ví đã bắt đầu tích hợp các tính năng của EIP-7702.
Các nhà phân tích tại Wintermute, một công ty giao dịch tiền điện tử, đã lưu ý rằng kẻ tấn công đã sử dụng 97% các ủy quyền ví EIP-7702 để triển khai các hợp đồng nhằm rút tiền từ người dùng không nghi ngờ.
Hacker sử dụng EIP-7702 của Ethereum để tự động hóa việc rút cạn ví hàng loạt
EIP-7702 tạm thời cho phép các tài khoản sở hữu bên ngoài (EOA) hoạt động như ví hợp đồng thông minh. Bản nâng cấp này cho phép các tính năng như gộp giao dịch, giới hạn chi tiêu, tích hợp khóa bảo mật và khôi phục ví – tất cả mà không cần thay đổi địa chỉ ví.
Mặc dù những nâng cấp này nhằm cải thiện khả năng sử dụng, các tác nhân độc hại đang lợi dụng tiêu chuẩn này để tăng tốc độ rút tiền.
Thay vì chuyển ETH thủ công từ mỗi ví bị xâm nhập, kẻ tấn công hiện ủy quyền cho các hợp đồng tự động chuyển tiếp bất kỳ ETH nào nhận được đến địa chỉ của họ.
“Không nghi ngờ gì, kẻ tấn công là một trong những người đầu tiên áp dụng các khả năng mới. 7702 không bao giờ được coi là giải pháp hoàn hảo và nó có những trường hợp sử dụng tuyệt vời,” Rahul Rumalla, Giám đốc Sản phẩm tại Safe, nói.
Phân tích của Wintermute cho thấy hầu hết các ủy quyền ví này đều trỏ đến các mã nguồn giống nhau được thiết kế để “quét” ETH từ các ví bị xâm nhập.
Phê duyệt ủy quyền giao dịch EIP-7702 của Ethereum. Nguồn: Dune
Những công cụ quét này tự động chuyển bất kỳ khoản tiền nào đến các địa chỉ do kẻ tấn công kiểm soát. Trong số gần 190,000 hợp đồng được ủy quyền đã được kiểm tra, hơn 105,000 liên quan đến hoạt động bất hợp pháp.
Koffi, một nhà phân tích dữ liệu cao cấp tại Base Network, giải thích rằng hơn một triệu ví đã tương tác với các hợp đồng đáng ngờ vào cuối tuần trước.
Ông làm rõ rằng kẻ tấn công không sử dụng EIP-7702 để hack ví mà để tối ưu hóa việc trộm cắp từ các ví đã bị lộ khóa riêng tư.
Nhà phân tích cho biết thêm rằng một triển khai nổi bật bao gồm một hàm nhận kích hoạt chuyển ETH ngay khi tiền vào ví, loại bỏ nhu cầu rút tiền thủ công.
Yu Xian, người sáng lập công ty bảo mật blockchain SlowMist, xác nhận rằng những kẻ phạm tội là các nhóm trộm cắp có tổ chức, không phải các nhà điều hành lừa đảo thông thường. Ông lưu ý rằng khả năng tự động hóa của EIP-7702 làm cho nó đặc biệt hấp dẫn cho các cuộc tấn công quy mô lớn.
“Cơ chế mới EIP-7702 được các nhóm trộm coin (không phải nhóm lừa đảo) sử dụng nhiều nhất để tự động chuyển tiền từ các địa chỉ ví có khóa riêng/mnemonics bị rò rỉ,” ông phát biểu.
Mặc dù quy mô của hoạt động, hiện chưa có lợi nhuận nào được xác nhận.
Địa chỉ của các tác nhân độc hại EIP 7702 của Ethereum. Nguồn: Dune
Một nhà nghiên cứu tại Wintermute lưu ý rằng kẻ tấn công đã chi khoảng 2.88 ETH để ủy quyền cho hơn 79,000 địa chỉ. Một địa chỉ duy nhất đã thực hiện gần 52,000 ủy quyền, nhưng địa chỉ mục tiêu chưa nhận được bất kỳ khoản tiền nào.
Bài viết đề xuất
